keypatch

Tastatchatch ist das preisgekrönte Plugin von IDA Pro für Keystone Assembler Engine.

Die Tastatatch besteht aus 3 Werkzeugen im Inneren.

• Patcher & Füllbereich : Mit diesen können Sie die Montage eingeben, um Ihre Binärdatei direkt zu pflücken.
• Suche : Mit diesem interaktiven Tool können Sie Binäranweisungen nach Montageanweisungen suchen.

Sehen Sie sich dieses schnelle Tutorial an, wie Sie Tastatchatch verwenden, und diese gleitet, wie es implementiert wird.

Es wird bestätigt, dass Tastatch an der IDA Pro Version 6.4, 6.5, 6.6, 6.8, 6.9, 6,95, 7,0, 7,5 arbeitet, sollte jedoch fehlerfrei auf älteren Versionen arbeiten. Wenn Sie Probleme finden, melden Sie bitte.

Manchmal wollen wir die Binärdatei bei der Analyse in IDA patchen, aber leider ist der integrierte Asssembler von IDA Pro nicht angemessen.

• Dieses Tool ist nicht freundlich und ohne viele Optionen, die das Leben des Umkehrers erleichtern würden.
• Nur X86 Assembler ist verfügbar. Die Unterstützung für alle anderen Architekturen fehlt völlig.
• Der X86 -Assembler ist auch nicht in guter Form: Es kann nicht viele moderne Intel -Anweisungen verstehen.

Die Tastatur wurde entwickelt, um dieses Problem zu lösen. Dank der Kraft von Keystone bietet unser Plugin einige nette Funktionen.

• Kreuzarchitektur: Unterstützen Sie Arm, ARM64 (AARG64/ARMV8), Sechskant, MIPS, Powerpc, SPARC, Systemz & X86 (einschließlich 16/32/64bit).
• Plattformübergreifend: Arbeiten Sie überall, wo IDA arbeitet, das unter Windows, MacOS, Linux.
• Basierend auf Python ist es einfach zu installieren, da keine Zusammenstellung erforderlich ist.
• Benutzerfreundlich: Fügen Sie automatisch Kommentare zu Patched Code hinzu und erlauben Sie die Änderung der Rückkehr (Rückkehrung).
• Open Source unter GPL v2.

Tastatchatch kann das fehlende Stück in Ihrem Toolset Reverse Engineering sein.

• Installieren Sie Keystone Core & Python-Bindung für Python 2.7 von keystone-gine.org/download. Oder befolgen Sie die Schritte im Abschnitt Anhang.
• Installieren Sie sechs Modul aus PIP pip install six da es von der Tastatchatch verwendet wird.
• Kopieren Sie die Datei keypatch.py ​​in den IDA -Plugin -Ordner und starten Sie IDA Pro, um die Tastaturen zu verwenden.
  • Unter Windows befindet sich der Ordner bei C:Program Files (x86)IDA 6.9plugins
  • Auf macOS befindet sich der Ordner AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • Unter Linux kann der Ordner AT /opt/IDA/plugins/ sein

NOTE

• Wenn Sie unter Windows eine Fehlermeldung von IDA über "Die dynamische Bibliothek nicht geladen" erhalten, kann Ihr Computer die VC ++ -Raufzeitbibliothek verpassen. Beheben Sie dies durch Herunterladen und Installation von https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• Auf anderen *NIX-Plattformen bedeutet die obige Fehlermeldung, dass Sie noch keinen 32-Bit-Keystone installiert haben. Weitere Anweisungen finden Sie in Anhang Abschnitt unten, um dies zu beheben.

• Für ein kurzes Tutorial finden Sie tutorial.md. Für eine vollständige Beschreibung aller Funktionen von Tastaturen lesen Sie weiter.

• Um Ihr Binärdatum zu patchen, drücken Sie Hotkey CTRL+ALT+K innerhalb der IDA, um den Dialogfeld "Tastatchather Patcher" zu öffnen.

  • Die ursprüngliche Baugruppe, die Encodes und die Anweisungsgröße werden in 3 Steuerelementen im oberen Teil des Formulars angezeigt.
  • Wählen Sie die Syntax, geben Sie neue Montageanweisungen in das Assembly ein (Sie können IDA -Symbole verwenden).
  • Tastatchatch würde die Encodierung automatisch im Encode beim Eingeben aktualisieren, ohne auf ENTER zu warten.
    • Beachten Sie, dass Sie IDA -Symbole eingeben können, und die Rohbaugruppe wird im Fixup -Steuerelement angezeigt.
  • Drücken Sie ENTER oder klicken Sie auf Patch , um die aktuelle Anweisung mit dem neuen Code zu überschreiben, und setzen Sie dann automatisch zur nächsten Anweisung vor.
    • Beachten Sie, dass die Tastatchatch bis zur nächsten Befehlsgrenze mit NOPS -OPCODE von der Größe des neuen Codes von dem ursprünglichen Code unterscheidet, sodass der Codefluss intakt ist. Deaktivieren Sie die Auswahl NOPs padding until next instruction boundary wenn dies unerwünscht ist.
    • Standardmäßig findet die Tastatchatch die geänderte Anweisung mit den Informationen des ursprünglichen Code (bevor er gepatcht wird) angehängt. Deaktivieren Sie die Auswahl Save original instructions in IDA comment um diese Funktion zu deaktivieren.
  • Standardmäßig wird die von Ihnen vorgenommene Änderung nur in der IDA -Datenbank aufgezeichnet. Um diese Änderungen auf die ursprüngliche Binärdatei anzuwenden (somit überschreiben), wählen Sie Menü Edit | Patch program | Apply patches to input file .

• Um einen Codebereich mit einer Anweisung zu füllen, wählen Sie den Bereich aus, drücken Sie dann entweder Hotkey CTRL+ALT+K oder wählen Sie Menü Edit | Keypatch | Fill Range .
  • In der Assembly -Box können Sie entweder den Montagecode oder den Rohhexcode eingeben. Einige Beispiele für akzeptable rohe Hexcode sind 90 , aa bb , 0xAA, 0xBB .

• Um das letzte Patching rückgängig zu machen, wählen Sie Menü Edit | Keypatch | Undo last patching .

• Um nach Montageanweisungen (ohne Überschreiben) zu suchen, öffnen Sie die Tastatchatch -Suche aus dem Menü Edit | Keypatch | Search .

  • Wählen Sie die Architektur, die Adresse, den Endian -Modus und die Syntax und geben Sie die Montage -Anweisungen im Assembly -Box ein.
  • Tastatchatch würde die Encodierung automatisch im Encode beim Eingeben aktualisieren, ohne auf ENTER zu warten.
  • Wenn Sie auf die Schaltfläche Search klicken, sucht die Tastatchatch nach allen Voraussetzungen der Anweisungen und zeigt das Ergebnis in einem neuen Formular an.

• Um nach einer neuen Version von Keypatch zu suchen, wählen Sie Menü Edit | Keypatch | Check for update .

• Sie können jederzeit auch auf alle oben genannten Tastatch-Funktionen zugreifen, indem Sie mit der rechten Maustaste auf den IDA-Bildschirm klicken und im Popup-Menü auswählen.

Senden Sie eine E -Mail an [email protected] für Fragen.

Für das zukünftige Update von Tastatatch folgen Sie unserem Twitter @keystone_Engine zur Ankündigung.

Wir alle wissen, dass der Python von IDA Pro IDA Pro IDA Pro 32-Bit selbst ist, sodass es nur 32-Bit-Bibliotheken lädt. Aus diesem Grund müssen wir Keystone 32-Bit erstellen und installieren. Da IDA 7.0 jedoch sowohl 32-Bit als auch 64-Bit unterstützt, müssen wir auch eine korrekte Version von Keystone installieren. Einfach von PYPI mit pip (32-Bit) installieren, wie folgt:

pip install keystone-engine

Erledigt? Gehen Sie nun zurück zu Abschnitt 2 und installieren Sie die Tastatur für IDA Pro. Genießen!